ГлавнаяБаза уязвимостей БДУ → BDU:2023-03407
7.8высокая

BDU:2023-03407

Уязвимость функции heif::Fraction::round() в box.cc декодера форматов файлов HEIF и AVIF libheif, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2023-06-26
Описание

Уязвимость функции heif::Fraction::round() в box.cc декодера форматов файлов HEIF и AVIF libheif связана с исключением с плавающей запятой. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
РЕД ОС (7.3)Альт 8 СПFedora (36)Fedora (37)Libheif (до 1.15.2)АЛЬТ СП 10Astra Linux Special Edition (1.8)ОСОН ОСнова Оnyx (до 2.12)
Способ устранения

Использование рекомендаций:
Для libheif:
https://github.com/strukturag/libheif/issues/794

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/LGKHDCS4HRZE3UGXYYDYPTIPNIBRLQ5L/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/CKAE6NQBA3Q7GS6VTNDZRZZZVPPEFUEZ/

Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОС Astra Linux:
обновить пакет libheif до 1.15.1-1+deb12u1+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD

Обновление программного обеспечения libheif до версии 1.11.0-1+deb11u2

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://github.com/strukturag/libheif/issues/794https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/LGKHDCS4HRZE3UGXYYDYPTIPNIBRLQ5L/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/CKAE6NQBA3Q7GS6VTNDZRZZZVPPEFUEZ/https://altsp.su/obnovleniya-bezopasnosti/https://altsp.su/obnovleniya-bezopasnosti/https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MDhttps://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.12/
Проверьте безопасность своего сайта и почты → Полная проверка домена